Как реализовать контроль электронной почты в компании?

Средства контроля электронной почты, которые могут быть практические полезны для отдела информационной безопасности, должны удовлетворять ряду требований, наиболее типовые из которых можно выразить в виде нижеследующего списка:

•    Работа со всеми почтовыми протоколами (SMTP, POP3, IMAP…);
•    Поддержка контроля почты, отправляемой через почтовые Web-сервисы;
•    Возможность ведения архива перехваченных почтовых сообщений;
•    Возможность работы с большими объемами данных;
•    Мощный и гибкий анализатор перехваченных сообщений, позволяющий определить факт отправки конфиденциальных данных без участия офицера информационной безопасности;
•    Интеграция с доменной структурой Windows для определения отправителя, пользующегося не своим корпоративным почтовым ящиком;
•    Качественная поддержка русского языка при анализе текстов;
•    Возможность выявления защищенных паролем вложений;
•    Поддержка распознавания текста в графических вложениях.

Как видите, список получается достаточно длинным, и неудивительно, что подавляющее большинство предлагаемых на рынке средств не проходят проверку по всем его пунктам. Большинство из них либо предлагает слишком слабые возможности в плане анализа перехваченных данных, ориентируясь на небольшое количество перехватываемой корреспонденции, либо не может одновременно служить и средством анализа, и средством ведения архива почты для ретроспективного расследования произошедших инцидентов.

Пожалуй, единственным безо всякого преувеличения полноценным средством контроля электронной почты сегодня можно назвать DLP-системы – специализированные программные комплексы, предназначенные для предотвращения утечек конфиденциальной информации. О них мы поговорим более подробно.

О поисковиках

Вокруг поисковых систем сегодня идет не меньше ИБ-обсуждений, чем вокруг социальных сетей. Что, в общем-то, не удивительно, учитывая популярность тех и других. Только главный предмет обсуждения несколько разный. Если о соцсетях говорят в контексте информации, которую пользователи размещают в них сами, то о поисковиках  - в контексте информации, которую они находят в интернете независимо от пользователей. Понятно, что кто-то эти данные где-то разместил, если они потом нашлись, но именно в этом и вся соль.
Итак, из последнего:
Принятое в мае постановление Европейского суда о «праве быть забытыми» — right to be forgotten — праве пользователей требовать удаления информации из поисковых систем о себе — продолжает вызывать оживлённые дискуссии. На сей раз на сторону защитников свободы информации встали английские лорды: Комитет внутренних дел, здоровья и образования палаты пэров, верхней палаты британского парламента, раскритиковала это решение, пишет газета Guardian. 
http://habrahabr.ru/post/231571/
По ссылке - о том, почему лорды против. Если вкратце, то их не устраивает нечеткость критериев того, какая информация должна изыматься, а какая - нет.
Давайте немного порассуждаем. Действительно, право правом, но если задуматься, то насколько это осуществимо вообще (изъятие данных из поисковиков)? Да, из Гугла, а теперь и из Бинга, можно будет удалить информацию. А из остальных поисковиков? Duckduckgo, Wolfram Alpha, китайские поисковики и т.п.? Получается такая сизифова анонимность.
Да и потом, даже если ты удалил информацию из поисковика, есть еще archive.org, резервные копии на серверах компаний - в общем, поисковики - это только "светлая материя", а "темной", как и положено по физике, куда больше...

Автомобильный инфобез: теперь с антивирусами

Это, конечно, уже не новость, что все автовладельцы - это наши уже даже не совсем потенциальные, а вполне себе реальные наши с вами клиенты. Во всяком случае, в обозримом будущем, если только весь мир не пересядет на продукцию "АвтоВАЗа". Но я думаю, что этого не произойдет по многим причинам:)
Пока же - новость. Она о том, что скоро нужно будет не только проходить техосмотр и менять резину, но и ставить на автомобиль антивирус - без него ездить будет опасно...
На конференции Black Hat 2014, которая пройдет 6-7 августа 2014 г. в Лас-Вегасе (штат Невада, США), Миллер и Валашек собираются продемонстрировать прототип электронного приспособления для защиты машин от кибератак. Оно представляет собой печатную плату с контроллером производства NXP. Суммарная стоимость используемых комплектующих составляет около $150, сообщают разработчики.
Устройство подключается к автомобильной сети через диагностический разъем (OBD-II, On-board diagnostic). Получив доступ к бортовой электронике, гаджет при помощи специальных алгоритмов анализирует работу узлов и агрегатов, а в случае появления аномальных сигналов или команд они блокируются. Более подробно об этом аппаратном антивирусе для автомобилей будет рассказано на Black Hat 2014.
Подробнее: http://www.cnews.ru/news/top/index.shtml?2014/07/24/580520
Дождались. Собственно, это ни для кого не новость. Но посмотрим на проблему шире. Всякие инновационные "плюшки" практически у всех производителей автомобилей сейчас подразумевают постоянное подключение к Сети. Машины будут обмениваться между собой информацией об авариях, заторах, сигналах на светофорах и ещё чёрт знает чем. Но что будет, если кто-либо преуспеет в атаке на подобную сеть? Очевидно, что это чревато самыми неприятными последствиями.
В свете обсуждавшихся нами недавно автономных автомобилей, антивирусы для всего мирового автопарка не кажутся бредовой идеей. А вы что думаете?

Неотвратимая поступь прогресса, или немного о безопасности автономных автомобилей

Что ни говори. а Гугл сегодня - едва ли не главный ньюсмейкер и движитель прогресса в области разных полуфантастических "девайсов будущего" вроде тех же очков дополненной реальности. Или, скажем, знаменитых "гугломобилей" - автономных автомобильчиков, которые могут прекрасно двигаться без водителя. Именно о них я бы и хотел сегодня поговорить.
Поводом для разговора стала статья, которую я увидел буквально сегодня же: http://www.kv.by/content/331558-kak-mashinki-google-napugali-fbr. В ней автор рассказывает о том, как ФБР стращает американцев применением автономных автомобилей террористами, преступниками и, конечно же, хакерами. Это очень занимательный текст, настоятельно рекомендую ознакомиться.

Эксперты ФБР высказали целый ряд опасений относительно оснащенных автопилотами автомобилей. Так, например, они рассматривали сценарии, при которых беспилотный экипаж может быть настроен на то, чтобы насмерть сбить конкретного человека. Или устроить аварию, уничтожив и себя, и пассажира. Или выступить в качестве «терминатора», таранив машину с объектом покушения.

Сам же хочу поделиться собственным мнением по поводу автономных автомобилей с точки зрения специалиста по ИБ. Лично мне кажется, что все проблемы несколько надуманы - если все эти возможные проблемы предусмотрены проектировщиками гугломобилей, то специалистам по ИБ предстоит исключительно рутинная работа по установке на них патчей. Но если они проектировали их так, как проектировали Андроид, то нас ждет масса интересных сообщений о вирусах, угонах и прочих "радостях жизни".
В целом, думаю, что опасения ФБР - не повод не пользоваться автономными автомобилями, но учитывать наличие подобных потенциальных проблем всё же стоит.

Насколько актуальны DLP-системы для Украины?

Вопрос, вынесенный в заголовок, вовсе не риторический, как может показаться с самого начала. Когда-то мы с коллегами всерьез задались им, готовя статью для одного из украинских изданий, и сегодня я хотел бы вернуться к нему в нашем блоге.
Очевидно, ответ на данный вопрос непосредственным образом связан с тем, насколько часто на территории происходят утечки конфиденциальной информации, от которых, собственно говоря, и помогают защищаться DLP-решения. По нашей статистике, с утечками конфиденциальных данных сталкивались в прошлом году 65% украинских компаний и государственных организаций, и примерно 14% сверх того просто не имеют никаких данных об утечках, чтобы обоснованно утверждать, что они не происходят. Фактически, это означает, что с утечками конфиденциальной информации (и, соответственно, их последствиями) в том или ином виде сталкивались почти три четверти украинских организаций. Впечатляет, согласитесь.
Но это еще не ответ на вопрос из заголовка. По данным международной исследовательской организации Ponemone Institute, средняя стоимость утечки данных на данный момент в мире составляет около 5,5 млн. долларов. Конечно, в США утечка стоит дороже, чем в Зимбабве, но  всё равно, сумма ущерба в миллионы гривен, связанная с утечкой информации, для Украины более чем реальна.
Исходя из данных, обнародованных выше, можно сказать, что у каждой украинской компании есть 75%-я вероятность потерять в результате утечки информации сумму, в среднесрочной перспективе составляющую, в зависимости от её размеров, величину, часто равную её годовому обороту. Очевидно, что если DLP-система стоит дешевле, то её внедрение в компании является достаточно обоснованным и взвешенным шагом.
Наш опыт говорит о том, что внедрение DLP-системы приводит к уменьшению количества инцидентов в сфере информационной безопасности на 60-80%, в зависимости от организации работы службы информационной безопасности в организации. Очевидно, что наиболее эффективным внедрение DLP-системы будет, если оно является одним из этапов комплекса мер по обеспечению информационной безопасности в компании.
Таким образом, вероятность утечки снижается до 10-15%. Согласитесь, это намного лучше, даже если не видеть сумм, которые за этим стоят. И сейчас вы сами можете ответить на вопрос из заголовка.

Разработка и реализация стратегии управления рисками в организации

Несмотря на то, что разработка стратегии снижения вероятности и минимизации последствий ведется всегда специалистами отдела информационной безопасности, грамотное выполнение этого этапа невозможно без комплексного видения целей и задач всей организации. Связано это с тем, что у специалистов по информационной безопасности недостаточно сведений о долгосрочных целях компании и влияния тех или иных информационных рисков на них. Поэтому ответственность за принятие стратегии должна, в конечном счете, возлагаться на высшее руководство организации, которое должно данную стратегию согласовывать.

Вполне понятно, что первоначальная разработка стратегии, которая будет согласовываться с руководством организации, ляжет именно на отдел информационной безопасности. Однако для уменьшения количества последующих итераций согласования целесообразно сразу привлечь к консультациям кого-то из совета директоров (идеально – директора по безопасности, если в компании такой имеется, на него же потом можно возложить и согласование стратегии с другими руководителями компании).

После того, как стратегия управления информационными рисками разработана, к её реализации должны приступать два подразделения компании – ИТ-отдел и отдел информационной безопасности. ИБ-служба обеспечивает оперативное управление рисками в сфере ИБ и реагирует на инциденты в соответствии с разработанными ранее политиками информационной безопасности, ИТ-отдел обеспечивает работоспособность необходимых для функционирования ИБ-службы технических средств.

Впрочем, помимо этого у ИТ-отдела могут быть собственные задачи, связанные с управлением ИБ-рисками, например, с управлением риском утраты данных (ведь создание резервных копий важных данных и последующее восстановление их из резервной копии традиционно являются задачами, решаемыми ИТ-отделом).

В рамках реализации стратегии управления ИБ-рисками имеет смысл не делать ИТ-отдел подчиненным отделу ИБ и наоборот, поскольку в абсолютном большинстве случаев в любой компании задачи этих отделов достаточно сильно различаются, и то, что является важным для отдела ИБ может, например, показаться совершенно лишним руководителю отдела ИТ.

Кадровая безопасность

Говоря об управлении рисками, нельзя не сказать и кое-что о том, что лежит за рамками обсуждаемого выше цикла – пресловутом «человеческом факторе», без которого, к сожалению, не обходится ни одна компания в мире. Очевидно, что количество инцидентов в сфере ИБ напрямую зависит от того, как хорошо сотрудники выполняют требования корпоративной политики информационной безопасности и насколько, вообще, они лояльны своему работодателю. Ответственность за эти два показателя в немалой мере лежит на HR-департаменте,  а также на службе внутренней безопасности, проверяющей кандидатов при приеме на работу.

В любой более-менее крупной компании есть HR-отдел, который отвечает за поиск и отбор сотрудников. К сожалению, его сотрудники зачастую рассматривают свои задачи достаточно узко: они заняты поиском кандидатов, формально удовлетворяющих требованиям в вакансиях, присылаемых другими отделами, и при этом мало заботятся обо всем, что находится за рамками этих требований. Именно так в компанию легко попадают люди, за плечами которых уже не один ИБ-инцидент, произошедший по их вине.

В идеале, каждый сотрудник при приеме на работу должен проходить через строгий фильтр в виде проверки отделом внутренней безопасности (причем проверки не поверхностной, а весьма основательной), включающей, среди прочего, и проверку фигурирования в прошлом сотрудника различных ИБ-инцидентов. Еще одним фильтром должно стать психологическое собеседование, которые бы определило не только насколько сотрудник подходит к уже существующему в компании трудовому коллективу, но и насколько он склонен к причинению вреда работодателю путем умышленного распространения его конфиденциальных данных, уничтожения информации и т.д. Финальным этапом этих проверок должно стать подписание перед принятием сотрудника на испытательный срок соглашения о неразглашении информации, полученной во время работы в компании. Это соглашение должно быть безукоризненным с юридической точки зрения, кроме того, оно должно быть составлено в полном соответствии с корпоративными политиками и стандартами в области информационной безопасности.

Также HR-отдел должен, в идеале, заниматься постоянной работой по повышению лояльности сотрудников компании к своему работодателю. Методик проведения такой работы существует масса, и многие из них показали свою успешность при применении в российских условиях.

К сожалению, такая идеальная ситуация практически не встречается в России – разве что в немногочисленных филиалах западных компаний, которые всерьез озабочены своей кадровой безопасностью. Остается лишь надеяться, что их способы и опыт будут постепенно перенимать и остальные организации.

Что же именно стоит перенимать? Для того чтобы усилить кадровую безопасность компании, необходимо расширить функции HR-отдела так, как описано выше. Для этого может понадобиться «доукомплектовать» отдел новыми штатными единицами, включая не только новых HR-менеджеров, но и психологов и юристов. Также необходимо наладить взаимодействие этого отдела с отделами информационной и внутренней безопасности, которые должны принять активное участие не только в отборе кандидатов на замещение вакантной должности, но и тщательно контролировать новых работников в течение их испытательного срока.

Страхование информационных рисков

Страхование как таковое, конечно, не влияет ни на вероятность наступления ИБ-инцидента, ни на ущерб от него, однако оно, как и риск-менеджмент, направлено на уменьшение ущерба от этого инцидента для организации.

Нужно сказать, что страхование именно ИБ-рисков, несмотря на развитую в России страховую систему, является пока еще не совсем общепринятой практикой, поэтому и предложение страховых услуг является достаточно ограниченным. Несмотря на это, практика страхования информационных рисков может сыграть важную роль в работе компании, особенно в тех случаях, когда ИБ-инцидент всё-таки будет, несмотря на все усилия ИБ-подразделения, иметь место. Сейчас такие услуги востребованы, в основном, финансово-кредитными организациями, но в последнее время к ним прибегают многие компании, работающие с интеллектуальной собственностью (в частности, разработчики программного обеспечения).

Сложно сказать, насколько страхование информационных рисков будет оправдано для вашей компании. Зачастую страховщики требуют комплексного аудита информационной системы и экспертизы страхуемой информации – мероприятий весьма дорогостоящих и не всегда своевременных. Если ваша компания уже работает с какой-нибудь страховой компанией, можно узнать, какие есть предложения по страхованию информационных рисков в её портфеле. Может быть, вы посчитаете нужным воспользоваться этими предложениями.

Заниматься взаимодействием со страховой компанией на первых порах может и кто-то из отдела информационной безопасности, но вообще, конечно, это задача директора по безопасности.

О важности имиджа в социальных сетях

Социальные сети неспроста сегодня привлекают самое пристальное внимание маркетологов всего мира. В наше время популярнее таких сетей лишь поисковые системы, при этом у соцсетей есть такие преимущества, которых нет у поисковиков: в частности, пользователи проводят в таких сетях намного больше времени, а кроме того, они готовы к намного большему, чем просто нажать на ссылку и «перепрыгнуть» на другой сайт. Можно рассказать о наболевшим, можно похвалиться новыми покупками, а кроме того, можно завести некоторые полезные знакомства… Не пустить эти возможности на благо компании будет, по меньшей мере, недальновидным решением.

Для чего же можно применить возможности соцсетей? Практика показывает, что с помощью социальных сетей сегодня эффективно можно решить практически любые маркетинговые вопросы, те, которые обычно решаются и при помощи оффлайновых средств: такие как изучение рынка, тесты  новых продуктов, а также – привлечение пользователей на интернет-ресурс компании, плюс продвижение бренда и увеличение степени лояльности к нему. Но, конечно же, нельзя сказать, что соцсети будут необходимы абсолютно всем компаниям.

Сегодня главная аудитория соцсетей – довольно молодые, социально активные интернет-пользователи, так что если эти пользователи не ваша целевая аудитория, то и «двигаться» в социальные сети вам просто ни к чему. Продавцу яхт или же дистрибьютору эксклюзивных ювелирных изделий социальные сети вряд ли пригодятся. Это справедливо и в отношении товаров, которые ориентированы на сравнительно немолодую аудиторию: например, это приборы для более точного измерения уровня артериального давления, или же – специальные «клубы по интересам» для пенсионеров. Но и тут все не однозначно – к примеру, тонометры для пожилых людей могут покупать их дети, также пользующиеся социальными сетями. Соцсети, кроме того, не потребуются тем, кто не торгует брендированным товаром. Например, производителю булочек, у которого есть сеть лотков на различных рынках и на вокзалах, вряд ли будет сильно интересен имидж его предприятия в сервисах Facebook и Вконтакте. И все-таки, даже такой продавец может включить торговые точки, принадлежащие ему, в Forsquare, и тогда пользователь данной соцсети, если проголодается и будет разыскивать ближайшую еду, сможет их найти.

Как видим, многообразие социальных интернет-сервисов и их повсеместное распространение ясно говорят о том, что игнорировать возможности соцсетей никому не стоит.